¿Cómo lanzar el código XSS desde una etiqueta INPUT HTML al cargar la página?

Question

¿Cómo lanzar el código XSS desde una etiqueta INPUT HTML al cargar la página?

#1 de paj28 (36 votos)
#2 de Bhuvanesh (-2 votos)

19

Diga que tengo un sitio web con el siguiente código:

<input type="text" id="search-text" name="query" value="?" />

Las comillas dobles no se escapan, por lo que puedo romper el atributo de valor, sin embargo, no puedo salir de la etiqueta HTML como '<' y > se están filtrando.

Mi objetivo aquí es que aparezca una ventana emergente de javascript.

Existe el atributo onfocus , por lo que supongo que si alguien hace clic en el cuadro de entrada de texto, podría aparecer una ventana emergente con javascript.
Sin embargo, ¿hay una manera de hacer que aparezca una ventana emergente de javascript cuando la página se carga por primera vez?

html xss

pregunta neubert 22.08.2015 - 20:38

fuente

2 respuestas

-2

También puedes pagar por esto

ONLOAD = alerta ('XSS')

Lo que producirá un cuadro de alerta cuando se cargue la página.

respondido por el Bhuvanesh 24.08.2015 - 12:48

fuente

Lea otras preguntas en las etiquetas html xss

claves de cifrado de ransomware ¿Soluciones provisionales para sitios que están dañados sin cookies?

score 36 · Accepted Answer

36

Prueba esto:

" onfocus="alert(1)" autofocus="

Se expandirá a:

<input type="text" id="search-text" name="query" value="" onfocus="alert(1)" autofocus="" />

Lo que causará un cuadro de alerta, demostrando XSS.

respondido por el paj28 22.08.2015 - 22:00

fuente